Skip to content
OSINT Open Source IntelligenceDiscoverAnalyzeVerify
Kembali ke Learn
Deepfake suaraLanjut 8 menit

Suara bos di telepon yang minta transfer cepat

Penipuan business email compromise yang naik level pakai kloning suara. Cara membuat protokol verifikasi sederhana sebelum eksekusi transfer.

Skenario

Mbak Wulan, 38 tahun, finance manager di perusahaan ekspor mebel di Jepara. Selasa siang, di tengah closing laporan bulanan, masuk panggilan WhatsApp video dari nomor +84 (Vietnam). Tidak ada gambar, hanya audio karena katanya sinyal jelek. Suara yang keluar persis Pak Hendro, direkturnya selama 6 tahun, lengkap dengan logat Jawa halus dan kebiasaan dehem dua kali sebelum mulai kalimat. Pak Hendro bilang lagi closing pembelian kontainer kayu jati dari supplier baru di Ho Chi Minh, deal ini tidak boleh batal karena harga di bawah pasar. Mbak Wulan diminta transfer 480 juta hari itu juga ke rekening atas nama PT yang belum pernah dia lihat. Permintaan terakhir, jangan kasih tahu siapa pun dulu, takut bocor ke kompetitor. Lima menit kemudian masuk email follow-up dari hendro@mebel-jepara.co.id (domain asli mebeljepara.co.id, tanpa tanda hubung).

Protokol verifikasi yang sebaiknya ada di setiap tim finance

  1. 01Tetapkan threshold nominal yang otomatis butuh verifikasi dua jalur, misal di atas 50 juta wajib callback.
  2. 02Callback hanya boleh ke nomor yang sudah ada di kontak resmi, bukan nomor yang baru saja menelepon.
  3. 03Sepakati kata kunci verbal antar pimpinan dan finance untuk situasi urgent, kata yang tidak pernah dipakai di chat resmi.
  4. 04Bandingkan domain pengirim email karakter per karakter. namaperusahaan.co.id berbeda dengan namaperusahaan-co.id atau namaperusahaaan.co.id.
  5. 05Tunda transaksi minimal 30 menit untuk perintah yang menyimpang dari rutinitas, lalu konfirmasi tatap muka atau video call ke nomor resmi.
  6. 06Catat semua kejadian mencurigakan, meskipun akhirnya benar dari atasan. Pola yang sama bisa dipakai penipu nanti.

Di mana OSINT bekerja di cerita ini

Sebelum serangan, OSINT dipakai oleh penipu. Mereka mengunduh podcast bisnis tempat Pak Hendro pernah jadi narasumber, mengambil 90 detik audio, lalu memberi makan ke tool kloning suara komersial. Mereka cek LinkedIn untuk tahu siapa finance manager dan kapan Pak Hendro sedang travel (dia posting foto bandara). Kabar baiknya, OSINT yang sama juga jadi pertahanan terbaik. Mbak Wulan bisa cek domain pengirim email di whois.com (terdaftar 2 hari lalu), cek nomor +84 di getcontact, dan paling penting, callback ke nomor Pak Hendro yang sudah ada di kontak resmi. Penipu menang ketika kita lupa, info publik yang mereka pakai untuk menyerang juga tersedia bagi kita untuk memverifikasi.

Yang membuat serangan ini efektif

  • Sampel suara hanya butuh 30 detik audio publik, dari podcast, webinar, atau video LinkedIn.
  • Tools kloning suara komersial sudah bisa diakses dengan harga murah.
  • Penipu sering riset struktur perusahaan dari LinkedIn, tahu siapa lapor ke siapa.
  • Mereka pilih waktu strategis, biasanya saat eksekutif sedang travel sehingga sulit dikonfirmasi.

Pelajaran utama

Pertahanan terbaik bukan teknologi anti deepfake, tapi prosedur yang membuat kecepatan bukan lagi keunggulan penipu. Kalau setiap permintaan urgent justru memicu langkah verifikasi tambahan, modus ini kehilangan daya rusaknya.

Di era suara dan wajah bisa dipalsukan, prosedurlah yang menjaga kewarasan organisasi.
Disclaimer. Skenario di atas fiktif, disusun dari pola yang berulang muncul di laporan publik dan komunitas. Tujuannya melatih cara berpikir, bukan menuduh siapa pun.

Cerita terkait

Phishing bank: domain look-alikeBaca cerita →Akun yang menyamar jadi tokoh publikBaca cerita →